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@ Verfahren zur Zugriffskontrolle auf rechnerkontrollierte Programme, die von mehreren Benutzereinheiten 
gleichzeitig genutzt warden kdnnen 

@ Die Erfindung betrifft ein Verfahren zur zusStzlichen 
Zugriffskontrolle von Konferenzanforderungen (Ai) anhand 
einer Zugriffskontrolldatenbank (ZDK). 
Die Zugriffskontrolle erfoigt auf Basis In der Zugriffskontrotl- 
datenbank (ZDK) genau spezifizierter erlaubter Konferenzan- 
forderungen (Ai), die von dem Besitzer des Programms (P) 
an die Benutzereinheiten (XSi) verteilt werden. 
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Beschreibung 

Durch ein sogenanntes "Sharing" von rechnerkontrol- 
lierten Programmen konnen Standard-Ein-Benutzer- 
Anwendungen (Programme) in rechnergestutzte Kon- 5 
ferenzen eingebracht werden. Die an der Konferenz 
beteiligten Personen, die sich an verschiedenen Stand- 
orten befinden kSnnen, k6nnen dadurch gemeinsam mit 
der Standard-Ein-Benutzer-Anwendung arbeiten. Die 
Ausgaben der jeweiligen gemeinsam genutzten Anwen- io 
dung konnen alle Beteiligten beobachten. Genau einer 
der beteiligten Personen kann zu jedem Zeitpunkt Ein- 
gaben an die Anwendung machen. 

Diese technische Konstruktion zur Anwendungsver- 
teilung ist die Basis von inform ationstechnischen Syste- 15 
men zur Unterstutzung synchroner Kollaboration geo- 
graphisch verteilter Personen. 

Bei der technischen Umsetzung des "Sharing" von 
Anwendungen gibt es bislang zwei verschiedene Rollen 
fQr die Anwender. Es handelt sich dabei zum einen um 20 
den sogenannten Token Holder", womit diejenige Per- 
son bezeichnet wird, die zu dem jeweiligen Zeitpunkt 
das Recht hat, Eingaben fur die Anwendung zu machen, 
und zum anderen um die sogenannten "Observer 5 *, wo- 
mit die anderen an der Konferenz beteiligten Personen 25 
bezeichnet werden, welche die Ausgabe der Anwen- 
dung zwar beobachten kdnnen, jedoch zu dem jeweili- 
gen Zeitpunkt kein Recht haben, eine Eingabe fur die 
Anwendung zu machen. 

Die Rolle des "Token Holder" ist zeitabhangig. Sie 30 
kann wahrend einer Konferenz zwischen den Beteilig- 
ten wechseln, jedoch gibt es zu jedem Zeitpunkt immer 
genau einen 'Token Holder". Dies bedeutet, daB zu je- 
dem Zeitpunkt immer genau nur eine Person das Recht 
hat, Eingaben fur die Anwendung zu machen. Durch 35 
diese technische Losung arbeitet jeder "Token Holder" 
unter den Privilegien und mit den Zugriffsrechten des 
Besitzers der Anwendung, also unter den Rechten des- 
jenigen Benutzers, der die Anwendung gestartet hat 
Somit kann der "Token Holder" mit der Anwendung 40 
genau die Operationen ausfilhren, zu denen der Besitzer 
der Anwendung berechtigt ist Damit ist auch der To- 
ken Holder" nicht mehr von dem eigentlichen Besitzer 
der Anwendung unterscheidbar. FQr die Anwendung ist 
nicht erkennbar, daB verschiedene Personen mit ihr ar- 45 
beiten und ebensowenig, wer zu einem bestimmten 
Zeitpunkt mit ihr arbeitet GewissermaBen wird der je- 
weilige Token Holder" durch die existierenden techni- 
schen Konstruktionen der "Sharing-Systeme" zu einer 
Personifikation des Anwendungsbesitzers. 50 

Diese Vorgehensweise birgt groBe Sicherheitsrisiken 
in sich, da der Token Holder" dadurch z. B. Zugriff auf 
das gesamte Dateisystem des Besitzers der Anwendung 
hat, wenn die Anwendung beispielsweise ein Textverar- 
beitungsprogramm mit entsprechender Funktionalitat 55 
ist In diesem Fall konnte der Token Holder" Dateien 
unerlaubterweise loschen, verandern, lesen oder kopie- 
ren, ohne daB der Besitzer der Anwendung unbedingt 
davon Kenntnis nehmen muB. 

Fenster-Systeme werden zur Zeit in zwei bekannte 60 
Kategorien unterteilt je nach Operations- und Betriebs- 
art, die diese Fenster-Systeme verwenden. 

Zum einen sind dies sogenannte Client-Server-Fen- 
ster-Systeme mit einer offenen Netzschnittstelle (R. 
Scheifler et al, The X- Window-System, ACM Transac- 65 
tions on Graphics, Vol. 5, No. 2, S. 79 - 109, April 1986), 
zum anderen solche ohne offene Netzschnittstelle. Letz- 
tere sind auch als monolithische graphikbasierte Fen- 
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ster-Systeme GDWS bekannt (Microsoft Windows 3.1 
Programmer's Reference, Volume 1 : Overview, Micro- 
soft Press, Redmond, ISBN 1-55615-453-4, 1992; R. Or- 
fali et al f Client/Server Programming with OS/2, Van 
Nostrand Reinhold, New York, ISBN 0-442-01833-9, 
1993; Inside Macintosh, Volume VI, Addison Wesley, 
ISBN 0-201-57755-0, 1991). 

Weiterhin sind auch Erweiterungen, die die Fenster- 
Systeme zu einem "SharingMahigen Fenster-System 
machen, bekannt 

(H. Abdel-Wahab et al, Issues, Problems and Solu- 
tions in Sharing X Clients on Multiple Displays, 
Internetworking: Research and Experience, Vol. 5, 
S. 1-15, 1994; 

D. Garfinkel et al, HP Shared X: A Tool for Real- 
Time Collaboration, Hewlett-Packard Journal, S. 
23 -36, April 1994; 

W. Minenko, Transparentes Application-Sharing 
unter X Window, Mtiltimediale Telekooperation, 
Deutsches Forschungszentrum fiir Kunstliche In- 
telligenz (DFKI) GmbH, Saarbrucken, S. 1-8, 
1994; 

J. Baldeschwieler et al, A Survey on X Protocol 
Multiplexors, ACM SIGCOMM, Computer Comm- 
unication Review, Swiss Federal Institute of Tech- 
nology, Computer Engineering and Networks La- 
boratory (TIK), ETH-Zentrum, Zurich, S. 16-24, 
1993, 

U. Pech, Sichtlich beeindruckt, PC Professionell, S. 
71-88,Oktober 1995; 

E. Chang et al, Group Coordination in Participant 
Systems, IEEE, Proceedings of the 24th Annual Ha- 
waii International Conference on System Sciences, 
VoL 3, No. 4, Kauai, HI, S. 589-599, Januar 1991 ; 
A. Nakajima, A Telepointing Tool for Distributed 
Meeting Systems, IEEE Global Telecommunica- 
tions Conference and Exhibition, VoL 1, No. 3, San 
Diego, CA, S. 76-80, Dezember 1990; 
J. Patterson, The Implications of Window Sharing 
for a Virtual Terminal Protocol, IEEE International 
Conference on Communications, Vol. 1, No. 4, At- 
lanta, GA,S. 66 -70, April 1990; 
G. Herter, Intel ProShare, Accounting Technology, 
VoL 1 1, No. 1, S. 49-54, Januar 1995; 
D. Riexinger et al, Integration of Existing Applica- 
tions into a Conference System, Proceedings of In- 
ternational Conference on Multimedia Transport 
and Teleservices Vienna, S. 346—355, November 
1994). 

Ferner ist eine Sicherheitserweiterung fiir von mehre- 
ren Benutzern gemeinsam nutzbare Ein-Benutzer-An- 
wendungen bekannt (G. Gahse, "Zugriffskontrolle in 
Konferenzsystemen", IBM Deutschland Informationssy- 
steme GmbH, Europaisches Zentrum fiir Netzwerkfor- 
schung, Heidelberg, 1995). 

Das bisher bekannte Verfahren zur Erweiterung der 
Sicherheit von Ein-Benutzer-Anwendungen in Konfe- 
renzsystemen beschreibt ein Zugriffskontrollverfahren, 
bei dem eine Ein-Benutzer-Anwendung, die von mehre- 
ren Benutzern gemeinsam genutzt werden soli, unter 
spezifischen "Sharing-Privilegien" ablauft Bei diesem 
Verfahren wird den Benutzern eine gemeinsame, neue 
temporare Identitat fur den Zeitraum der Kollaboration 
zugeteilt Dieser gemeinsamen, temporaren Identitat 
werden Zugriffsrechte zugeordnet ("Sharing-Privile- 
gien), wodurch die urspriinglichen Rechte zurUckge- 
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setzt werden konnen. Damit kann z. B. keiner der Kon- 
ferenzteilnehmer bei der Nutzung der Anwendung un- 
berechtigt auf Daten des lokalen Systems zugreifen. 

Ein wesentlicher Nachteil, der in dem bekannten Ver- 
fahren zu sehen ist, besteht darin, daB der vorgeschlage- 
ne Zugriffskontrollmechanismus nicht die verschiede- 
nen Benutzer bei der Zuteilung von angeforderten Res- 
sourcen beriicksichtigt, und somit keine Unterscheidung 
zwischen dem Token Holder" und dem Besitzer der 
Applikation m6glich ist 
* Eine Hauptursache fur bei diesem Verfahren noch 
immer bestehende Sicherheitsrisiken liegt darin, daB bei 
diesem Verfahren noch immer mehrere Personen, z. B. 
der Systemadministrator, oder auch andere Benutzer, 
die in einer bestimmten "Berechtigungsdatei" angege- 
ben sind, die Rechte der anderen Benutzer fur eine An- 
wendung setzen konnen. Durch diese Vorgehensweise 
konnen auch weiterhin andere Benutzer als der eigentli- 
che Besitzer der Anwendung beispielsweise fiber das 
Dateisystem des Besitzers der Anwendung "bestim- 
men". Diese Voraussetzung der Vertrauenswurdigkeit 
der Benutzer, die die Rechte fiir Anwendungen vertei- 
Ien, stellt ein erhebliches Sicherheitsrisiko dar. 

Der Erfindung liegt das Problem zugrunde, ein Ver- 
fahren zur Zugriffskontrolie auf rechnerkontroliierte 
Programme, die von mehreren Benutzereinheiten 
gleichzeitig benutzt werden konnen, anzugeben, das die 
im vorigen beschriebenen Sicherheitsrisiken vermeidet 

Dieses Problem wird durch das Verfahren gemaB Pa- 
tentanspruch 1 gelost 

Bei diesem Verfahren wird explizit zwischen dem Be- 
sitzer der Anwendung, also demjenigen Benutzer, der 
die Anwendung gestartet hat, dem jeweiligen Token 
Holder" und alien anderen Benutzern unterschieden. 
Der Besitzer einer Anwendung (Programm) erstellt eine 
Zugriffskontrolidatenbank, in der er auf der Basis der 
Identitaten der anderen Benutzer sowie der Art der 
Anforderung, die von den Benutzern gesendet werden, 
auf die eigene Anwendung bestimmen kann, ob die An- 
forderung des jeweiligen Benutzers erlaubt sein soli 
oder ob die Anforderung zuriickgewiesen wird. 

In dem Verfahren wird eine empfangene Anforde- 
rung fur eine Anwendung (Programm und Menge von 
Bibliotheksroutinen), die von mehreren Benutzereinhei- 
ten gleichzeitig genutzt werden kann, von einem Mittel 
zur Organisation des Datenflusses (sogenannte Multi- 
plexerkomponente) empfangen und daraufhin tiber- 
priift, ob die Anforderung von der Benutzereinheit ge- 
sendet wurde, die das Programm ursprunglich gestartet 
hatte. 

Falls dies der Fall ist und falls der Anwendungsbesit- 
zer zu dem betreffenden Zeitpunkt das Eingaberecht 
besitzt, wird die Anforderung direkt an das Programm 
weitergeleitet 

Anderenfalls wird fiir die Anforderung anhand der 
von dem Besitzer der Anwendung erstellten Zugriffs- 
kontrolidatenbank eine Zugriffskontrolie durchgefuhrt 
Durch die Zugriffskontrolie wird erreicht, daB nur expli- 
zit von dem Besitzer der Anwendung "genehmigte" An- 
forderungen an das Programm weitergeleitet werden. 

Durch diese zusatzliche Zugriffskontrolie wird die Si- 
cherheit des "Sharings" von Anwendungen in Konfe- 
renzsystemen erheblich erhoht 

Durch die Weiterbildung des Verfahrens gemaB Pa- 
tentanspruch 2 wird das Verfahren vereinfacht, indem 
vor der Kontrolle, ob die Benutzereinheit das Pro- 
gramm ursprunglich gestartet hatte, uberprtift wird, ob 
die Benutzereinheit, die die Anforderung gesendet hat- 



te, Qberhaupt ein Bearbeitungsrecht besaB, & h. ob diese 
Benutzereinheit Token Holder" war. Falls dies zu dem 
Sendezeitpunkt nicht der Fall war, wird die Anforde- 
rung gar nicht erst den weiteren Verfahrensschritten, 
5 die der Patentanspruch 1 aufweist, zugefuhrt 

Damit wird die Zugriffskontrolie fur Anforderungen, 
die von Benutzern gesendet wurden, die zu dem jeweili- 
gen Zeitpunkt des Sendens der Anforderung nicht To- 
ken Holder" waren, vermieden, wodurch erhebliche Re- 
io chenzeiteinsparungen erzielt werden, da die Zugriffs- 
kontrolie nicht mehr ffir alle von dem Mittel zur Organ- 
isation des Datenflusses (Multiplexereinheit) empfange- 
nen Anforderungen durchgefuhrt werden muB. 

Durch die Weiterbildung des Verfahrens gemaB Pa- 
is tentanspruch 3 wird durch eine Authentikation der Be- 
nutzereinheit, die die Anforderung gesendet hat und/ 
oder der Anforderung selbst die Sicherheit des Verfah- 
rens weiter erhoht 

Weiterbildungen des erfindungsgemaBen Verfahrens 
20 ergeben sich aus den abhangigen Anspruchen. 

Im folgenden wird die Erfindung anhand von Zeich- 
nungen, die zwei Ausfuhrungsbeispiele des erfindungs- 
gemaBen Verfahrens darstellen, naher erlautert 

Es zeigen 

25 Fig. 1 eine prinzipielle Anordnung von Ressourcen, 
die ein Fenster-System eines ersten Ausfuhrungsbei- 
spiels verwenden, welches erweiterbar ist auf ein Fen- 
ster-System, in dem Anwendungen von mehreren Be- 
nutzern gleichzeitig genutzt werden konnen; 

30 Fig- 2 eine prinzipielle Anordnung einer Erweiterung 
der in Fig. 1 beschriebenen Ressourcen, wodurch die 
gleichzeitige Nutzung einer Anwendung durch mehrere 
Benutzer moglich ist; 
Fig. 3 ein Ablaufdiagramm, in dem einzelne Verfah- 

35 rensschritte des erfindungsgemaBen Verfahrens darge- 
stellt sind; 

Fig. 4 ein Ablaufdiagramm, in dem eine Weiterbil- 
dung durch eine Authentikation der Anforderung und/ 
oder des Senders der Anforderung durchgefuhrt wird; 

40 Fig. 5 ein Ablaufdiagramm, in dem eine Weiterbil- 
dung des Verfahrens beschrieben ist, bei dem zu Beginn 
des Verfahrens Oberpruft wird, ob die die Anforderung 
sendende Benutzereinheit zu dem Sendezeitpunkt ein 
Bearbeitungsrecht fiir die Anwendung besitzt; 

45 Fig. 6 ein Struktugramm, in dem die Information dar- 
gestellt ist, die in einer Zugriffskontrolidatenbank min- 
destens enthalten sein sollte; 

Fig. 7 eine Anordnung, in der die ndtige Sicherheits- 
erweiterung der in Fig. 2 beschriebenen Anordnung 

50 durch eine Zugriffskontrolidatenbank dargestellt ist. 

Fig. 8 eine prinzipielle Anordnung von Ressourcen, 
die ein monolithisches, graphikbasiertes Fenster-System 
eines zweiten Ausfuhrungsbeispiels verwenden, welches 
erweiterbar ist auf ein monolithisches, graphikbasiertes 

55 Fenster-System, in dem Anwendungen von mehreren 
Benutzern gleichzeitig genutzt werden kGnnen. 

Anhand der Fig. 1 bis 8 wird die Erfindung weiter 
erlautert 

In Fig. 1 ist zur Erlauterung eines ersten Ausffih- 
60 rungsbeispiels eine Anordnung dargestellt, in der einzel- 
ne Komponenten (Ressourcen) beschrieben sind, die ein 
bekanntes, in (R- Scheifler et al, The X Window System, 
ACM Transactions on Graphics, Vol. 5, No. 2, S. 
79 — 109, April 1986) beschriebenes Fenster-System nut- 

65 zen - 

Diese Anordnung weist mindestens folgende Kompo- 
nenten auf: 
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— Eine Benutzereinheit, im weitern als Server XS 
bezeichnet, die wiederum folgende Komponenten 
aufweist: 

— mindestens eine Treibereinheit DD, die eine 
Kopplung zwischen weiteren Peripheriekom- 5 
ponenten mit einem im weiteren beschriebe- 
nen Klienten XC ermoglicht, 

— eine Bildschirmeinheit BS, 

— eine Tastatur TA, 

— eine Maus MA, 10 

— den KJienten XC, der mindestens folgende Kom- 
ponenten aufweist: 

— Eine Menge von Bibliotheksroutinen XL 
und 

— eine Anwendung ANW. 15 

Die Bildschirmeinheit BS, die Tastatur TA, die Maus 
MA sowie eventuell aufierdem vorhandene weitere Pe- 
ripherieeinheiten bilden die im vorigen beschriebenen 
Peripheriekomponenten, die uber, die entsprechenden 20 
Treibereinheiten DD mit dem Klienten XC gekoppelt 
sind. 

Die Menge der Bibliotheksroutinen XL des KJienten 
XC bildet die Schnittstelle zwischen dem bekannten, 
oben beschriebenen Fenster-System und der Anwen- 25 
dung ANW. 

Zusammen bilden die Bibliotheksroutinen XL sowie 
die Anwendung ANW ein Programm P. 

Auch wenn in diesem Ausftihrungsbeispiel nur jeweils 
eine Anwendung ANW bzw. ein Programm P beschrie- 30 
ben wird, konnen natiirlich mehrere Anwendungen 
ANW und damit mehrere KJienten XC auf einer, diese 
Anwendungen ANW ausfUhrenden Rechnereinheit zur 
VerfUgung gestellt werden. 

Diese in Fig. 1 dargestellte Anordnung ist also nur ein 35 
sehr einfaches, prinzipielles Beispiel fur den Abiauf der 
Kommunikation eines Klienten XC mit dem Server XS, 
wie sie unter dem bekannten Fenster-System durchge- 
fiihrt wird. 

Von dem Server XS wird eine Anforderung A an den 40 
Klienten XC gesendet, wodurch in dem Klienten XC 
Aktionen, beispielsweise in der Anwendung ANW, an- 
gestoBen werden. Diese Anforderung kann z. B. eine 
Eingabe auf der Tastatur TA reprasentieren, die durch 
die Treibereinheiten DD in die Anforderung A "Uber- 45 
setzf und an den Klienten XC gesendet wird. 

Die Anwendung ANW, beispielsweise ein Textverar- 
beitungsprogramm oder auch ein Kalkulationspro- 
gramm, ein Zeichenprogramm und ahnliche Program- 
me, kann nun die Eingabe akzeptieren und beispielswei- 50 
se als neuer Buchstabe in der Textdatei aufnehmen. 

Damit diese Anderung in der Textdatei auch auf dem 
Bildschirm BS dargestellt werden kann, wird in einer 
Antwort B in diesem Fall beispielsweise eine Darstel- 
lungsanforderung an die Bildschirmeinheit BS gesendet, 55 
eine Anderung in der Bildschirmdarstellung durchzu- 
fiihren. 

In Fig. 2 ist eine Anordnung beschrieben, die vergli- 
chen mit der in Fig. 1 beschriebenen Anordnung um ein 
Mittel zur Organisation des Datenflusses, das im weite- go 
ren als eine Multiplexerkomponente ASC bezeichnet 
wird, erweitert wird, so daB ein Konferenzsystem auf 
Basis des im vorigen beschriebenen Fenster-Systems 
erm6glicht wird. 

Es sind mehrere unterschiedliche Realisierungen der 65 
Multiplexerkomponente ASC bekannt Diese sind bei- 
spielsweise beschrieben in (D. Garfinkel et al ( HP Sha- 
red X: A Tool for Real-Time Collaboration, Hewlett- 
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Packard Journal, S. 23-36, April 1994; W. Minenko, 
Transparentes Application Sharing unter X Window, 
Multimediale Telekooperation, Deutsches Forschungs- 
zentrum fur Kiinstliche Intelligenz (DFKI) GmbH, 
Saarbrucken, S. 1— 8, 1994). 

Eine Untersuchung uber unterschiedliche Realisie- 
rungen der Multiplexerkomponente ASC ist beschrie- 
ben in (J. Baldeschwieler et al, A Survey on X Protocol 
Multiplexors, Swiss Federal Institute of Technology, 
Computer Engineering and Networks Laboratory 
(TIK), ETH-Zentrum, Zurich, 1993). 

Durch die Multiplexerkomponente ASC ist es nun 
moglich, daB mehrere Server XSi uber die Multiplexer- 
komponente ASC mit dem Klienten XC kommunizieren 
und so auf jeweils das Programm P zugreifen konnen. 
Ein Index i identifiziert hierbei jeweils jeden Server XSi 
eindeutig und ist eine beliebige naturliche Zahl zwi- 
schen 1 und n, wobei die Zahl n die Anzahl der Server 
XSi, die iiber die Multiplexerkomponente ASC mit dem 
Klienten XC gekoppelt sind, angibt 

Die Multiplexerkomponente ASC sollte mindestens 
folgende Eigenschaften aufweisen: 

— Die Multiplexerkomponente ASC ist zwischen 
den KJienten XC und die Server XSi geschaltet 

— GegenUber dem Klienten XC ubernimmt die 
Multiplexerkomponente die Funktionalitat eines 
einzigen Servers XS, um somit die Funktionalitat 
der Anordnung gemSB Fig. 1 zu erhalten. 

— Gegenuber den n Servem XSi ubernimmt die 
Multiplexerkomponente ASC die Funktionalitat 
des Klienten XC, wodurch n "logische Klienten" 
durch die Multiplexerkomponente ASC modeiliert 
werden. 

Es wird also jeweils von einem Server XSi eine Kon- 
ferenzanfrage Ai an die Multiplexerkomponente ASC 
gesendet In der Multiplexerkomponente ASC wird die 
jeweilige Konferenzanfrage Ai umgewandelt in die An- 
frage A, die an den Klienten XC gesendet wird. 

Die Darstellungsanfrage B des Klienten XC wird im 
Gegensatz zu der Anordnung, die in Fig. 1 beschrieben 
wurde, an die Multiplexerkomponente ASC gesendet, 
wo sie dann umgewandelt wird in eine Konferenzdar- 
stellungsanfrage Bi, und an den jeweiligen Server XSi, 
der die Konferenzanfrage Ai gesendet hatte gesendet 

Es kann aber auch je nach Typ der Konferenzdarstel- 
lungsanfrage Bi erforderlich sein, daB die Darstellungs- 
anfrage B an jeden Server XSi verteilt wird. Dies ist 
beispielsweise notwendig, wenn die Darstellungsanfra- 
ge B in einer Anforderung an die Bildschirmeinheit BS 
besteht, da ja eine Anderung des Bildschirminhalts auf 
jeden Server XSi sichtbar sein muB. 

— Die Multiplexerkomponente ASC ubernimmt 
also die Funktionalitat eines Multiplexers und De- 
multiplexers, also die Organistion des Datenflusses. 

Hierbei wird in der Multiplexerkomponente ASC die 
Darstellungsanfrage B des Klienten XC zu den ange- 
koppelten Servem XSi gemultiplext, wobei Kopien der 
Darstellungsanfrage B an die einzelnen Server XSi ge- 
sendet werden. 

Dabei werden Anderungen an den einzelnen Konfe- 
renzdarstellungsanfragen Bi durchgefuhrt entsprechend 
den unterschiedlichen Ressourcen der Server XSi, bei- 
spielsweise bei unterschiedlichen Farbendarstellungen 
bei den Servem XSi, wenn unterschiedliche Arten von 
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Bildschirmeinheiten BS bei den Servern XSi verwendet 
werden, oder ahnliches. 

— Von den Servern XSi gesendete Konferenzan- 
forderungen Ai werden in der Multiplexerkompo- 
nente ACS gesammelt und eventueiJ nicht erlaubte 
Konferenzanforderungen Ai werden herausgefil- 
tert 

— Die erlaubten Konferenzanforderungen Ai wer- 
den an den Klienten XC weitergeleitet als ob diese 
Konferenzantorderungen Ai direkt von einem ein- 
zigen Server XS kamen und nicht, wie dies tatsach- 
lich der Fall ist, von mehreren Servern XSL 

In Fig. 3 sind einzelne Verfahrensschritte des erfin- 
dungsgemaBen Verfahrens dargestellL 

In einem ersten Schritt 1 wird eine Konferenzanfor- 
derung Ai von einem beliebigen Server XSi an die Mul- 
tiplexerkomponente ASC gesendet 

Die Konferenzanforderung Ai wird von der Multiple- 
xerkomponente ASC empfangen 2. 

Nach Empfang der Konferenzanforderung Ai wird in 
einem weiteren Schritt 3 Uberprtift, ob der Server XSi, 
der die Konferenzanforderung Ai gesendet hat, das Pro- 
gramm P, auf das sich die Konferenzanforderung Ai 
bezieht, urspriinglich gestartet hat 

Dies entspricht der Kontrolle, ob der Sender der 
Konferenzanforderung Ai der Besitzer der Anwendung 
AN W ist 

Hat der die Konferenzanforderung Ai sendende Ser- 
ver XSi das Programm P urspriinglich gestartet und 
besitzt er zu dem betreffenden Zeitpunkt das Eingabe- 
recht, wird die Konferenzanforderung Ai von der Multi- 
plexerkomponente ASC direkt an den Klienten XC und 
somit an das Programm P und die Anwendung ANW 
weitergeleitet 4. 

Dies geschieht, da im Rahmen dieser Erfindung der 
Besitzer der Anwendung ANW die komplette Kontrolle 
iiber seine Anwendung ANW besitzt Somit ist es fur 
diesen Fall auch nicht ndtig, eine weitere Zugriffskon- 
trolie fur Konferenzanforderungen Ai, die von dem Be- 
sitzer der Anwendung ANW gesendet wurden, durch- 
zufiihren. 

Wird die Konferenzanforderung Ai jedoch von einem 
Server XSi gesendet, der nicht Besitzer der Anwendung 
ANW ist, wird fur die Konferenzanforderung Ai eine 
zusatzliche Zugriffskontrolle anhand einer Zugriffskon- 
trolldatenbank ZDK durchgefuhrt 5. Durch die Zugriffs- 
kontrolle wird die Konferenzanforderung Ai in erlaubte 
Konferenzanforderungen Ai und nicht erlaubte Konfe- 
renzanforderungen Ai unterschieden. 

In einem weiteren Schritt 6 wird das Ergebnis der im 
vorigen durchgefiihrten Zugriffskontrolle 5 uberpriift 
Wurde die Konferenzanforderung Ai durch den Appli- 
kationsbesitzer als eine nicht erlaubte Konferenzanfor- 
derung Ai klassifiziert, wird die Konferenzanforderung 
Ai nicht an den Klienten XC und damit auch nicht an die 
Anwendung ANW weitergeleitet, sondern sie wird ver- 
worfen 7. 

Wurde jedoch die Konferenzanforderung Ai durch 
den Applikationsbesitzer als eine erlaubte Konferenz- 
anforderung Ai klassifiziert, wird diese Konferenzanfor- 
derung Ai an den Klienten XC und somit an die Anwen- 
dung ANW weitergeleitet 8. 

Durch diese Vorgehensweise wird nicht mehr nur, wie 
bisher zwischen demjenigen, der ein Bearbeitungsrecht 
zu dem Zeitpunkt des Sendens der Konferenzanforde- 
rung Ai besitzt, also der sogenannte "Token Holder" ist, 



und den weiteren Benutzern, den sogenannten Obser- 
vern" unterschieden. 

Es kommt durch das erfindungsgemaBe Verf ahren ei- 
ne weitere Unterscheidung hinzu, n&mlich die Unter- 
5 scheidung, ob der Server XSi, der die Konferenzanfor- 
derung Ai gesendet' hat, nicht auch der Besitzer der 
Anwendung ANW ist, also ob die Anwendung ANW 
nicht urspriinglich von dem entsprechenden Server XSi 
gestartet wurde. 
io Durch diese zusatzliche Unterscheidung wird bei ge- 
eigneter Klassifikation erlaubter Konferenzanforderun- 
gen Ai durch den Applikationsbesitzer in der Zugriffs- 
kontrolldatenbank ZDK verhindert, daB unbefugte 
Dritte auf Ressourcen des Besitzers der Anwendung 
15 ANW zugreifen konnen. 

Durch das erfindungsgemaBe Verfahren ist nunmehr 
nur noch der Besitzer der Anwendung ANW berechtigt, 
vollstandig auf seine eigenen Ressourcen zuzugreifen. 
AuBerdem hat der Besitzer der Anwendung ANW 
20 das alleinige Recht, die Zugriffskontrolldatenbank ZDK 
aufzubauen, und somit als einziger die Moglichkeit, den 
Konferenzteilnehmern, mit denen er die von ihm gestar- 
tete Anwendung ANW gemeinsam nutzt, also alien an- 
deren Servern XSi, ganz spezifisch bestimmte Rechte 
25 zuzugestehen oder zu nehmen. 

Damit wird auch das Sicherheitsrisiko, das das in (G. 
Gahse, "Zugriffskontrolle in Konferenzsystemen", IBM 
Deutschland Informationssysteme GmbH, europaisches 
Zentrum fur Netzwerkforschung, Proceeding of VIS 
30 1995, S. 141-162, 1995) beschriebene Verfahren auf- 
weist und im vorigen beschrieben wurde, vermieden, da 
auch keine weiteren Benutzereinheiten als der Besitzer 
der Anwendung ANW selbst, Zugriffsrechte auf die An- 
wendung ANW verteilen kSnnen und auch ohne Zu- 
35 stimmung des Besitzers der Anwendung ANW keine 
"allmachtigen" Zugriffsrechte auf die Anwendung ANW 
besitzetL 

Die Zugriffskontrolldatenbank ZDK wird also aus- 
schlieBlich von dem Besitzer der Anwendung ANW, al- 
40 so von demjenigen Server XSi aus, von dem die Anwen- 
dung ANW urspriinglich gestartet wurde, aufgebaut 
und kontrolliert 

Die Zugriffskontrolldatenbank ZDK sollte minde- 
stens folgende Informationen aufweisen, um die Zu- 
45 griffskontrolle fur jede Konferenzanforderung Ai effi- 
zient durchfiihren zu kdnnen (vgl. Fig. 6): 

— Eine Angabe AC des Klienten XC, auf den sich 
der Eintrag in der Zugriffskontrolldatenbank ZDK 

so bezieht, beispielsweise durch Angabe einer Inter- 
net-Protocol-Adresse (IP) und zusatzlich der ent- 
sprechenden Adresse des Ports, 

— eine Angabe AXSi des Servers XSi, auf den sich 
der Eintrag in der Zugriffskontrolldatenbank ZDK 

55 bezieht, beispielsweise durch Spezifizierung der 
Bildschirmadresse des jeweiligen Servers XSi, 

— eine Angabe des jeweiligen Typs AAT der Kon- 
ferenzanforderung Ai, auf den sich der Eintrag in 
der Zugriffskontrolldatenbank ZDK bezieht, bei- 

eo spielsweise bei dem im vorigen beschriebenen Fen- 
ster-System fur das erste AusfQhrungsbeispiel: 
XCreate, XRequest usw., 

— weitere Parameter WP; die weiteren Parameter 
WP konnen beispielsweise einen erlaubten Werte- 

65 bereich fur den jeweiligen Konferenzanforde- 
rungstyp aufweisen. 

Die Art und Weise, wie die Zugriffskontrolldatenbank 
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ZDK aufgebaut und geSndert werden darf, kann auf 
unterschiedliche Weise realisiert sein. 

Es ist beispielsweise vorgesehen, daB der Besitzer der 
Anwendung ANW die Zugriffskontrolldatenbank ZDK 
als Textdatei mit Hilfe eines Texteditors aufbaut. 

Weiterhin ist es auch vorgesehen, zum Aufbau der 
Zugriffskontrolldatenbank ZDK eine Bildschirmmaske 
zu verwenden, durch die die Eingabe zur Erstellung der 
Zugriffskontrolldatenbank ZDK fur den Besitzer der 
Anwendung ANW intuitiv ermoglicht wird und somit 
erleichtert wird. 

Es ist ferner vorgesehen, fur vordefinierte Konferenz- 
teilnehmer Schablonen zu definieren. Die Schablonen 
sind Zugriffskontrolldatenbanken, die fur bestimmte Si- 
cherheitsszenarien, beispielsweise fur bestimmte Appli- 
kationen und fur bestimmte Konferenzteilnehmer, vor- 
definiert wurden und leicht abrufbar fur die jeweils ge- 
startete Anwendung ANW von dem Besitzer der An- 
wendung als Zugriffskontrolldatenbank ZDK eingebun- 
den werden kann. 

ZusStzliche MaBnahmen zur Authentikation der 
Nachrichten, die zur Definition, also dem Aufbau der 
Zugriffskontrolldatenbank ZDK oder auch zur Ande- 
rung von Daten in der Zugriffskontrolldatenbank ZDK 
dienen, sind in einer Weiterbildung des Verfahrens vor- 
gesehen zur Vermeidung, daB Unbefugte Dritte Zugang 
zur Zugriffskontrolldatenbank ZDK selbst erhalten. 

Kryptographische Verfahren zur Authentikation sind 
dem Fachmann bekannt, beispielsweise asymmetrische 
kryptographische Verfahren mit denen eine digitale Si- 
gnatur und somit eine Authentikation des Senders der 
jeweiligen Nachricht moglich ist oder auch die Verwen- 
dung einer Einwegfunktion, mit der ein Hash- Wert zu- 
mindest iiber einen Teil der Konferenzanforderung Ai 
gebildet wird. 

In einer Weiterbildung des Verfahrens, die in Fig. 4 
dargestellt ist, wird vor Beginn des Verfahrens eine In- 
itialisierung der im weiteren beschriebenen Authentika- 
tion durchgef uhrt 4 1 . 

Dies geschieht beispielsweise durch folgendes Vorge- 
hen. 

Unter der Annahme, daB die Multiplexerkomponente 
ASC ein Anwendungszertifikat besitzt und die Benut- 
zereinheiten, also die Server XSi, jeweils ein Benutzer- 
zertifikat besitzen, die jeweils eindeutig den Benutzer- 
einheiten zugeordnet sind, wird dann von der Multiple- 
xerkomponente ASC eine erste Zufallszahl erzeugt 

Nachdem eine Transportverbindung zwischen der 
Multiplexerkomponente ASC und dem jeweiligen Ser- 
ver XSi aufgebaut wurde, wird von der Multiplexer- 
komponente ASC eine erste Verhandlungsnachricht an 
die Benutzereinheit gesendet die mindestens foigende 
Komponenten aufweist: 

— Das Programmzertifikat, 

— die erste Zufallszahl, 

— einen ersten Vorschlag fiir ein im weiteren zu 
verwendende krypthographische Verfahren und 

— eine digitale Unterschrift die mindestens uber 
die erste Zufallszahl sowie den ersten Vorschlag 
gebildet wird 

Die erste Verhandlungsnachricht wird yon der jewei- 
ligen Benutzereinheit, also dem Server XSi, empfangen. 

Von der Benutzereinheit XSi wird das Programmzer- 
tifikat auf Korrektheit uberpruft 

Ferner wird die digitale Unterschrift Uberpruft 

Falls die Oberprufung des Programmzertifikats und 
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der digitalen Unterschrift ein positives Ergebnis liefert 
wird in der Benutzereinheit XSi weiterhin uberpruft ob 
die vorgeschlagenen kryptographischen Algorithmen 
die in der ersten Verhandlungsnachricht vorgeschlagen 
5 wurden, im weiteren zur Authentikation und zur Siche- 
rung der Obertragung verwendet werden konnen. 

Wenn die Benutzereinheit XSi die vorgeschlagenen 
kryptographischen Algorithmen nicht unterstutzen 
kann, wird von der Benutzereinheit, also dem Server 

io XSi, ein zweiter Vorschlag in einer zweiten Vorschlags- 
nachricht gebildet und an die Multiplexerkomponente 
ASC gesendet. Der zweite Vorschlag weist kryptogra- 
phische Verfahren auf, die die Benutzereinheit XSi un- 
terstiitzt Diese werden nunmehr der Multiplexerkom- 

15 ponente ASC als im weiteren Verfahren zu verwenden- 
de kryptographische Verfahren fiir diese logische Ver- 
bindung zwischen der Multiplexerkomponente und der 
Benutzereinheit XSi vorgeschlagen. 
Die zweite Vorschlagsnachricht weist mindestens fol- 

20 gende Komponenten auf: 

— Das Benutzerzertifikat des jeweiligen Servers 
XSi, 

— eine zweite Zufallszahl, die von der Benutzerein- 
25 heit XSi selbst erzeugt wurde, 

— den zweiten Vorschlag, 

— eine digitale Unterschrift, die jeweils mindestens 
iiber die erste Zufallszahl, die zweite Zufallszahl 
sowie den zweiten Vorschlag gebildet werden. 

30 

Die zweite Vorschlagsnachricht wird an die Multiple- 
xerkomponente ASC gesendet 

Fiir den Fall, daB die in dem ersten Vorschlag angege- 
benen kryptographischen Algorithmen von dem Benut- 
35 zereinheit XSi unterstutzt werden, wird von dem Benut- 
zereinheit XSi eine Bestatigungsnachricht gebildet und 
an die Multiplexerkomponente ASC gesendet 

Die Bestatigungsnachricht weist mindestens foigende 
Komponenten auf: 

40 

— Das Benutzerzertifikat, 

— die zweite Zufallszahl, 

— eine positive Bestatigung, und 

— eine digitale Unterschrift, die jeweils mindestens 
45 uber die erste Zufallszahl, die zweite Zufallszahl, 

und die positive Bestatigung gebildet werden. 

Die Bestatigungsnachricht wird an die Multiplexer- 
komponente ASC gesendet 

so Von der Multiplexerkomponente ASC wird die Ver- 
handlungsnachricht oder die Bestatigungsnachricht 
empfangen und es wird in der Multiplexerkomponente 
ASC gepriift, ob das Benutzerzertifikat sowie die digita- 
le Unterschrift korrekt sind. 

55 Weiterhin wird von der Multiplexerkomponente ASC 
fiir den Fall, daB die Oberprufung ein positives Ergebnis 
liefert und die empfangene Nachricht die Bestatigungs- 
nachricht war, ein erster Sitzungsschlussel unter Be- 
riicksichtigung der vereinbarten kryptographischen Al- 

60 gorithmen fiir eine foigende NutzdatenObertragungs- 
phase erzeugt 

Aus dem ersten Sitzungsschlussel wird eine erste Sit- 
zungsschliisselnachricht gebildet und an die Benutzer- 
einheit XSi gesendet die mindestens foigende Kompo- 

65 nenten aufweist: 

— Den mit einem offentlichen Schlilssel des Ser- 
vers XSi verschlusselten ersten Sitzungsschlussel, 
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— eine Spezifikation der zu verwendenden krypto- 
graphischen Verfahren, 

— eine mindestens uber die erste Zufallszahl, die 
zweite Zufallszahl, den ersten Sitzungsschlussel ge- 
bildete digitale Unterscfarift sowie die Spezifikation 
der zu verwendenden kryptographischen Verfah- 
ren. 

Wurde von der Mukiplexerkomponente ASC die 
zweite Verhandlungsnachricht empfangen, und die 
Oberprufung des Benutzerzertifikats und der digitalen 
Unterschrift oder des Hash-Werts der zweiten Ver- 
handlungsnachricht hat ein positives Ergebnis geliefert, 
wird in der Mukiplexerkomponente ASC gepruft, ob die 
in der zweiten Verhandlungsnachricht vorgeschiagenen 
kryptographischen Algorithm en zur Durchfiihrung der 
weiteren kryptographischen Verfahren von der Multi- 
plexerkomponente ASC unterstiitzt werden. 

Werden die vorgeschiagenen kryptographischen Ver- 
fahren von der Multiplexerkomponente ASC unter- 
stiitzt, wird ein erster Sitzungsschlussel unter Beruck- 
sichtigung der vereinbarten kryptographischen Algo- 
rithmen fur die folgende Nutzdatenubertragungsphase 
erzeugt 

Weiterhin wird, wie im vorigen beschrieben wurde, 
eine erste Sitzungsschlusselnachricht unter Verwen- 
dung des ersten SitzungsschlQssels an die Mukiplexer- 
komponente ASC gesendet 

Diese im vorigen beschriebene Vorgehensweise zum 
"Aushandeln" der zu verwendenden kryptographischen 
Verfahren wird solange wiederholt, bis sowohl die Be- 
nutzereinheit XSi als auch die Mukiplexerkomponente 
ASC zuletzt vorgeschiagenen kryptographischen Ver- 
fahren akzeptieren. 

In der Benutzereinheit XSi wird der erste Sitzungs- 
schlussel unter Verwendung eines privaten Schlussels 
der Benutzereinheit XSi ermittelt Ferner wird die digi- 
tale Unterschrift der ersten Sitzungsschlusselnachricht 
Uberpruft 

AuBerdem wird fur den Fall, daB die Oberprufung der 
digitalen Unterschrift ein positives Ergebnis lieferte, ei- 
ne zweite Sitzungsschlusselnachricht gebildet unter 
Verwendung eines zweiten SitzungsschlQssels, der von 
der Benutzereinheit XSi gebildet wird 

Die zweite Sitzungsschlusselnachricht weist minde- 
stens folgende Komponenten auf: 

— Den mit einem dffentlichen Programmschlusse! 
der Multiplexerkomponente ASC verschlusseken 
zweiten Sitzungsschlussel, und 

— eine mindestens ilber die erste Zufallszahl, die 
zweite Zufallszahl, den zweiten Sitzungsschlussel 
gebildete Digitale Unterschrift oder einen uber die- 
selben Komponenten gebildeten Hash-Wert 

Von der Multiplexerkomponente ASC wird die zwei- 
te Sitzungsschlusselnachricht empfangen und der zwei- 
te Sitzungsschlussel ermittelt Die digitale Unterschrift 
oder der Hash-Wert der zweiten Sitzungsschlusselnach- 
richt wird UberprQft 

Lieferte die Prtifung der digitalen Unterschrift ein 
positives Ergebnis, werden die ausgetauschten Sit- 
zungsschlussel in der folgenden Nutzdatenubertra- 
gungsphase zur VerschlQsselung der Nutzdaten ver- 
wendet Dabei verwendet jede beteiligte Instanz den 
Sitzungsschlussel, der von ihr selbst generiert wurde 
zum Senden von Nutzdaten, wahrend der empfangene 
Sitzungsschlussel ausschiieBlich zum Empfangen von 
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Nutzdaten verwendet wird. 

Weitere kryptographische Verfahren zum SchlUssel- 
austausch bzw. zur Bildung des SitzungsschlQssels fur 
die Nutzdatenverschlusselung sind im Rahmen des er- 
5 findungsgemafien Verfahrens ohne Einschr^nkungen 
einsetzbar. 

Nachdem die Initialisierungsphase zur Authentika- 
tion 41 abgeschlossen ist, wird in der Nutzdatenubertra- 
gungsphase jeweils nach Empfang der jeweiligen Kon- 
io ferenzanforderung Ai in der Multiplexerkomponente 
ASC eine Authentikation der Konf erenzanforderung Ai 
und/oder der die Konferenzanforderung Ai sendenden 
Benutzereinheit XSi durchgefUhrt 42. 
In einem weiteren Schritt 43 wird uberpruft, ob die 
is Authentikation ein positives Ergebnis lieferte. Ist dies 
der Fall, wird die Konferenzanforderung Ai dem weite- 
ren, im vorigen beschriebenen Verfahren zugeftihrt L. 

Ergab jedoch die Authentikation 43 ein negatives Er- 
gebnis, wird die Konferenzanforderung Ai verworfen, 
20 und somit nicht an den Klienten XC weitergeleitet 44. 
Eine Weiterbildung des Verfahrens liegt ferner darin, 
nach Empfang der Konferenzanforderung Ai durch die 
Multiplexerkomponente ASC 2 zu uberpriifen, ob die 
Benutzereinheit XSi, die die Konferenzanforderung Ai 
25 gesendet hat, zu dem jeweiligen Sendezeitpunkt ein Be- 
arbeitungsrecht besaB 51 (vgl. Fig. 5). 

Dies entspricht der Fragestellung, ob die Benutzer- 
einheit XSi zu dem Sendezeitpunkt der Konferenzan- 
forderung Ai Token Holder" der Anwendung ANW 
30 war. 

Ist dies der Fall, wird die Konferenzanforderung Ai 
den weiteren Verfahrensschritten des erfindungsgema- 
Ben Verfahrens unterzogen L. Ist dies jedoch nicht der 
Fall, wird die Konferenzanforderung Ai nicht weiterge- 

35 leitet und somit verworfen 52. 

Diese Weiterbildung weist den Vorteil auf, daB eine 
Konferenzanforderung Ai, die ohnehin nicht erlaubt ist, 
da sie von einer Benutzereinheit XSi, die zur Zeit gar 
nicht das Bearbeitungsrecht besaB, gesendet wurde, 

40 dem gesamten Verfahren unterzogen wird. Damit wer- 
den Qberflussige Zugriffskontrollen vermieden. 

Die notige Erweiterung der in Fig. 2 beschriebenen 
Anordnung, damit die Anordnung das im vorigen be- 
schriebene Verfahren durchfuhren kann, ist in Fig. 7 

45 dargestellt Diese Erweiterung besteht darin, daB eine 
zusatzliche Zugriffskontrolldatenbank ZDK in der Mul- 
tiplexerkomponente ASC vorgesehen ist 

Ferner mussen nattirlich die vorgesehenen OberprQ- 
fungen, die im vorigen beschrieben wurden, implemen- 

50 tiert werden. 

In einem zweiten Ausfuhrungsbeispiel wird das Ver- 
fahren beschrieben fur Rechnereinheiten, die monolithi- 
sche, graphikbasierte Fenster-Systeme verwenden, die 
keine offene Kommunikationsschnitts telle zwischen der 

55 Anwendung ANW und dem Fenster-System aufweisen 
(vgLFig. 8). 

Beispiele solcher monolithische, graphikbasierte Fen- 
ster-Systeme sind bekannt und wurden im vorigen zi- 
tiert 

60 Bei monolithischen, graphikbasierten Fenster-Syste- 
men muB zum Verteilen einer Ein- Benutzer- Anwen- 
dung ebenfalls das Fensterprotokoll zwischen der An- 
wendung ANW und der BenutzeroberflSiche "aufgebro- 
chen" werden. Die Vorgehensweise hierbei ist prinzi- 

65 piell analog zu der bereits beschriebenen. Die mogli- 
chen Stellen zum Eingriff in das Fensterprotokoll wer- 
den im folgenden geschildert 

Die Struktur dieses monolithischen, graphikbasierten 
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Fenster-Systems GDWS ist in Fig- 8 dargestellt 

Monolithische, graphikbasierte Fenstersysteme 
GDWS weisen mindestens folgende Komponenten auf: 

— den Bildschirm BS, 5 

— dieTastaturTA, 

— die Maus MA, 

— Graphikkartentreiber-Programme GDD, 

— Graphik-Bibliotheksroutinen BCL, 

— Fenster-Bibliotheksroutinen WL mit einem In- 10 
put-Handler IL, 

— die Anwendung AN W. 

Die Anwendung ANW lauft bei diesem Ausfuhrungs- 
beispiel in derselben Umgebung wie das Graphikbasier- 15 
te Fenstersystem GDWS und beide verwenden eine 
Menge von Funktionsaufrufen in einem gemeinsamen 
Speicher um miteinander zu kommunizieren. 

Da Graphikbasierte Fenstersysteme GDWS keine of- 
fene Kommunikationsschnittstelle aufweisen, muB fur 20 
Anwendungen ANW, die von mehreren Benutzern 
gleichzeitig genutzt werden sollen, in den Aufbau der in 
Fig. 8 dargestellten Figur eingegriffen werden. 

Die Erweiterungen kdnnen an verschiedenen Steilen 
des jeweiligen Graphikbasierten Fenstersystems 25 
GDWS vorgenommen werden, beispielsweise an einer 
ersten Programmierschnittstelle zwischen den Fenster- 
Bibliotheksroutinen WL und der Anwendung ANW, an 
einer zweiten Programmierschnittstelle zwischen den 
Graphik-Bibliotheksroutinen BCL und den Fenster-Bi- 30 
bliotheksroutinen WL oder an den Graphikkartentrei- 
ber-Programmen GDD. 

Diese Anderungen sind nur mdglich, falls die Fenster- 
Bibliotheksroutinen WL, die Graphik-Bibliotheksrouti- 
nen BCL oder die Graphikkartentreiber-Programme 35 
GDD nicht fest an die Anwendung ANW gebunden 
sind, sondern dynamisch. Diese Art von Programmen 
werden als Dynamic Link Library (DLL) bezeichnet 

Die nfitigen Anderungen sind bekannt 

Das erfindungsgemaQe Verfahren selbst wird auch 40 
bei diesen monolithischen, graphikbasierte Fenstersy- 
steme GDWS wie im vorigen beschrieben durchgefiihrt 

Patentansprilche 

45 

1. Verfahren zur Zugriffskontrolle auf rechnerkon- 
trollierte Programme (P), die von mehreren Benut- 
zereinheiten (XSi; i = 1 . . . n) gleichzeitig genutzt 
werden konnen, 

— bei dem von einer Benutzereinheit (XSi) 50 
eine Anforderung (Ai) fur ein Programm (P) 
gesendet wird(l), 

— bei dem in einem Mittel zur Organisation 
des Datenflusses (ASC) die Anforderung (Ai) 
fur ein Programm empfangen wird (2), 55 

— bei dem in dem Mittel (ASC) gepriift wird, 
ob die Benutzereinheit (XSi), von der die An- 
forderung (Ai) gesendet wurde, das Programm 
(P) urspriinglich gestartet hatte (3), 

— bei dem, falls die die Anforderung (Ai) sen- eo 
dende Benutzereinheit (XSi) das Programm 
(P) gestartet hatte, die Anforderung (Ai) an das 
Programm (P) weitergeleitet wird (4), 

— bei dem, falls die die Anforderung (Ai) sen- 
dende Benutzereinheit (XSi) das Programm 65 
(P) nicht gestartet hatte, anhand einer Zugriffs- 
kontrolldatenbank (ZDK) eine Zugriffskon- 
trolle fiir die Anforderung (Ai) durchgefiihrt 
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wird (5), 

— bei dem, falls die Zugriffskontrolle ergibt, 
daB die Anforderung (Ai) eine erlaubte Anfor- 
derung darstellt, die Anforderung (Ai) an das 
Programm (P) weitergeleitet wird (6, 8), und 

— bei dem, falls die Zugriffskontrolle (ZDK) 
ergibt, daB die Anforderung (Ai) eine uner- 
laubte Anforderung darstellt, die Anforderung 
(Ai) nicht an das Programm (P) weitergeleitet 
wird (6, 7). 

2. Verfahren nach Anspruch 1, 

— bei dem vor der Kontrolle, ob die Benutzer- 
einheit (XSi) das Programm (P) urspriinglich 
gestartet hatte (3), in dem Mittel (ASC) uber- 
priift wird, ob die Benutzereinheit (XSi) zu 
dem Sendezeitpunkt der Anforderung (Ai) ein 
Bearbeitungsrecht besaB (51), und 

— bei dem, falls die Benutzereinheit (XSi) kein 
Bearbeitungsrecht besaB, die Anforderung 
(Ai) nicht an das Programm (P) weitergeleitet 
wird (52). 

3. Verfahren nach Anspruch 1 oder 2, bei dem zu 
Beginn des Verfahrens eine Authentikation der Be- 
nutzereinheit (XSi), die die Anforderung (Ai) ge- 
sendet hat, und/oder der Anforderung (Ai) durch- 
gefuhrt wird (42). 

4. Verfahren nach Anspruch 3, bei dem bei einem 
Verbindungsaufbau zwischen einer Benutzerein- 
heit (XSi) und dem Programm (P) eine Initialisie- 
rungsphase zur Authentikation durchgefiihrt wird 
(41). 

5. Verfahren nach Anspruch 4, bei dem in der Initia- 
lisierungsphase folgende Schritte vorgesehen wer- 
den, wobei die Benutzereinheit (XSi) ein Benutzer- 
zertifikat besitzt und die Multiplexerkomponente 
(ASC) ein Programmzertifikat besitzt: 

a) von der Multiplexerkomponente (ASC) wird 
eine erste Zufallszahl erzeugt, 

b) von der Multiplexerkomponente (ASC) 
wird eine erste Verhandlungsnachricht an die 
Benutzereinheit (XSi) gesendet, die minde- 
stens folgende Komponenten aufweist: 

— das Programmzertifikat, 

— die erste Zufallszahl, 

— einen ersten Vorschlag, und 

— eine digitale Unterschrift, die minde- 
stens fiber die erste Zufallszahl, und den 
ersten Vorschlag gebildet wird, 

c) die erste Verhandlungsnachricht wird von 
der Benutzereinheit (XSi) empfangen, 

d) von der Benutzereinheit (XSi) wird das Pro- 
grammzertifikat iiberpriift, 

e) von der Benutzereinheit (XSi) wird die digi- 
tale Unterschrift fiberpriift, 

von der Benutzereinheit (XSi) wird, falls die 
berprufung des Programmzertifikats und der 
digitalen Unterschrift ein positives Ergebnis 
liefert, iiberpriift, ob die vorgeschlagenen 
kryptographischen Algorithmen im weiteren 
verwendet werden kdnnen, 
g) falls die kryptographischen Algorithmen 
von der Benutzereinheit (XSi) nicht unter- 
stutzt werden, wird von der Benutzereinheit 
(XSi) ein zweiter Vorschlag in einer zweiten 
Vorschlagsnachricht gebildet und an die Multi- 
plexerkomponente (ASC) gesendet, die minde- 
stens folgende Komponenten aufweist: 

— das Benutzerzertifikat, 
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— eine zweite Zufallszahl, die von der Be- 
nutzereinheit erzeugt wird, 

— den weiteren Vorschlag, und 

— eine digitate Unterschrift, die minde- 
stens iiber die erste Zufallszahl, die zweite 5 
Zufallszahl, und den weiteren Vorschlag 
gebildet wird, 

h) falls die kryptographischen Algorithmen un- 
terstiltzt werden, wird von der Benutzerein- 
heit (XSi) eine Bestatigungsnachricht gebildet 10 
und an die Multiplexerkomponente (ASC) ge- 
sendet, die mindestens folgende Komponenten 
aufweist: 

.— das Benutzerzertifikat, 

— eine zweite Zufallszahl, die von der Be- 15 
nutzereinheit (XSi) erzeugt wird, 

— eine positive Bestatigung, und 

— eine digitale Unterschrift, die minde- 
stens iiber die erste Zufallszahl, die zweite 
Zufallszahl, und die positive Bestatigung 20 
gebildet wird, 

i) die zweite Verhandlungsnachricht oder die 
Bestatigungsnachricht wird von der Multiple- 
xerkomponente (ASC) empfangen, 

j) von der Multiplexerkomponente (ASC) wird 25 
das Benutzerzertifikat Qberpruft, 
k) von der Multiplexerkomponente (ASC) 
wird die digitale Unterschrift uberpruft, 
1) von der Multiplexerkomponente (ASC) wird, 
falls die Oberprilfung des Benutzerzertifikats 30 
und der digitalen Unterschrift ein positives Er- 
gebnis liefert und die Bestatigungsnachricht 
empfangen wurde, ein erster Sitzungsschliissel 
unter Beriicksichtigung der vereinbarten kryp- 
tographischen Algorithmen fur eine folgende 35 
Nutzdateniibertragungsphase erzeugt, 
m) von der Multiplexerkomponente (ASC) 
wird, fails die Oberprilfung des Programmzer- 
tifikats und der digitalen Unterschrift ein posi- 
tives Ergebnis liefert und die weitere Verhand- 40 
lungsnachricht empfangen wurde, iiberpriift, 
ob die vorgeschlagenen kryptographischen 
Algorithmen im weiteren verwendet werden 
konnen, 

o) von der Multiplexerkomponente (ASC) 45 
wird, falls die vorgeschlagenen kryptographi- 
schen Algorithmen im weiteren verwendet 
werden konnen, ein erster Sitzungsschliissel 
unter Beriicksichtigung der vereinbarten kryp- 
tographischen Algorithmen fur eine folgende 50 
Nutzdateniibertragungsphase erzeugt, 
p) von der Multiplexerkomponente (ASC) 
wird eine erste Sitzungsschlusselnachricht an 
die Benutzereinheit (XSi) gesendet, die minde- 
stens folgende Komponenten aufweist: . 55 

— den mit einem offentlichen Schlussel 
der Benutzereinheit (XSi) verschliisselten 
ersten Sitzungsschliissel, 

— eine mindestens iiber die erste Zufalls- 
zahl, die zweite Zufallszahl, den ersten Sit- 60 
zungsschliissel gebildete digitale Unter- 
schrift, 

q) von der Benutzereinheit (XSi) wird der erste 
Sitzungsschliissel unter Verwendung eines pri- 
vaten Benutzerschliissels ermittelt, 65 
r) von der Benutzereinheit (XSi) wird die digi- 
tale Unterschrift iiberpriift, 
s) von der Benutzereinheit (XSi) wird eine 
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zweite Sitzungsschlusselnachricht an das Pro- 
gramm gesendet, die mindestens folgende 
Komponenten aufweist: 

— den mit einem offentlichen Schlussel 
der Multiplexerkomponente (ASC) ver- 
schliisselten zweiten Sitzungsschlussel, 

— eine mindestens iiber die erste Zufalls- 
zahl, die zweite Zufallszahl, den zweiten 
Zwischenschlussel gebildete digitale Un- 
terschrift oder Hash- Wert, 

t) von der Multiplexerkomponente (ASC) wird 
die zweite Sitzungsschlusselnachricht empfan- 
gen, 

u) von der Multiplexerkomponente (ASC) 
wird die digitale Unterschrift oder der Hash- 
Wert iiberpriift, 

v) falls die Oberprilfung ein positives Ergebnis 
liefert, beginnt die Nutzdateniibertragungs- 
phase, bei der jede Instanz fur das Senden von 
Daten den Sitzungsschlussel verwendet, der 
von ihr selbst generiert wurde und bei der der 
jeweils empfangene Sitzungsschlussel der 
Partnerinstanz ausschlieBlich zum Empfang 
von versendeten Nachrichten verwendet wird 
6. Verfahren nach einem der Anspruche 1 bis 5, bei 
dem die Zugriffskontrolldatenbank (ZDK) minde- 
stens folgende Information aufweist: 

— Eine Angabe (AC) des Klienten (XC), auf 
den sich der Eintrag in der Zugriffskontrollda- 
tenbank (ZDK) bezieht, 

— die Angabe des Fensters (AF), auf den sich 
der Eintrag in der Zugriffskontrolldatenbank 
(ZDK) bezieht, 

— die Benutzereinheit (XSi), 

— Angabe eines Anforderungstyps (AAT), 
dessen nahere Eigenschaften in weiteren Para- 
metern (WP) angegeben sind, 

— die weiteren Parameter (WP) f die die Anfor- 
derung (Ai) aufweisen muB, urn als eine erlaub- 
te Anforderung akzeptiert zu werden. 
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